Protection des données, technique de sécurité et planification des bâtiments
Quelles sont les conséquences de la révision de la loi suisse sur la protection des données (revDSG) sur les techniques de sécurité numérique et les planifications de bâtiments ? Cet article montre ce qui doit être pris en compte du point de vue de la protection des données, tant du côté du fournisseur que du client.
Avec l'entrée en vigueur de la LPrD révisée en 2022, les entreprises qui n'étaient pas encore soumises au RGPD devront également tenir compte d'exigences plus élevées en matière de protection des données. Même les entreprises déjà conformes au RGPD devront en outre mettre en œuvre les exigences divergentes de la revDSG. Ainsi, toutes les entreprises suisses ayant des points de contact avec la technique de sécurité numérique et la planification des bâtiments sont concernées, que ce soit du côté des fournisseurs ou des clients.
Extension des données personnelles sensibles : La liste des données personnelles sensibles est élargie aux données génétiques et aux données biométriques telles que les empreintes digitales, le scan de la rétine ou les empreintes veineuses. Ainsi, des conséquences juridiques qualifiées s'appliqueront également à ces données, que ce soit pour le consentement, l'analyse d'impact relative à la protection des données ou la communication de données à des tiers. En particulier, les données biométriques, très importantes pour les solutions de sécurité, feront désormais toujours partie des données personnelles sensibles, et non plus, comme jusqu'à présent, de manière indirecte (indications sur l'origine ethnique ou l'état de santé).
Profilage et profilage à haut risque : Le profilage est toute forme de traitement automatisé de données personnelles visant à évaluer certains aspects de la personnalité d'une personne physique. On parle de profilage à haut risque lorsque des données personnelles font l'objet d'un traitement automatisé et qu'un croisement de données permet d'évaluer des aspects essentiels de la personnalité. En cas de profilage à haut risque, le consentement éventuellement requis doit être explicite. Du point de vue de la sécurité, toute surveillance automatisée de personnes, que ce soit au moyen de caméras, de systèmes de contrôle d'accès ou autres, doit être considérée au minimum comme un profilage, voire, selon les modalités, comme un profilage à haut risque.
Titulaire du marché : Une relation de traitement des commandes, comme par exemple dans le cadre d'une externalisation telle que la conservation des données dans le cloud ou la surveillance des bâtiments - peut être établie entre autres par contrat. Le sous-traitant doit traiter les données de la même manière que le responsable du traitement. Le responsable doit alors s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. Le transfert à un sous-traitant requiert l'autorisation préalable du responsable. En fournissant des services appropriés, le prestataire de sécurité devient le sous-traitant du client et est tenu de mettre en œuvre les mesures juridiques, techniques et organisationnelles correspondantes.
Protection des données grâce à la technologie et aux paramètres par défaut respectueux de la vie privée : Le responsable doit concevoir le traitement des données dès la planification de manière à ce que les prescriptions en matière de protection des données et en particulier les principes de traitement soient respectés (Privacy by Design). En outre, les préréglages doivent être effectués de manière à ce que le traitement des données personnelles soit limité au minimum nécessaire pour l'utilisation prévue, à moins que la personne concernée n'en décide autrement (Privacy by Default). Ainsi, les techniques de sécurité et la planification des bâtiments doivent prendre en compte les exigences de Privacy by Design et by Default dès le stade de la planification et jusqu'à l'utilisation quotidienne.
Exigences de protection des données sur l'application des systèmes de sécurité numérique ?
En résumé, il est clair que toutes les nouveautés importantes de la revDSG ont un impact sur les techniques de sécurité modernes. La mise en œuvre de telles solutions a des conséquences directes sur la protection des données pour les fournisseurs et les clients, raison pour laquelle il convient de déterminer les mesures nécessaires. Pour la planification, la réalisation et l'utilisation de systèmes de sécurité multifonctionnels en réseau, les fournisseurs doivent donc dès aujourd'hui se pencher de manière approfondie sur les nouvelles exigences en matière de protection des données afin de pouvoir conseiller suffisamment les clients et trouver les meilleures solutions de mise en œuvre possibles. Et ce, même si des mesures RGPD ont déjà été mises en œuvre, car certaines différences doivent être prises en compte et représentées dans la loi révisée sur la protection des données. En partant du besoin d'action constaté, les mesures de mise en œuvre nécessaires peuvent être déterminées, classées par ordre de priorité et mises en œuvre en fonction du projet.
Vous pouvez lire l'intégralité du rapport technique dans l'édition imprimée de SicherheitsForum 1-2021.
Vous souhaitez lire les articles de ce numéro ? Alors fermez tout de suite ici un abonnement.